详情
《华为防火墙实战指南》针对华为HCNA安全课程所涉及的实验内容,从基本操作开始,由浅入深地介绍华为防火墙产品的各种配置及其使用。为方便读者阅读,本书采用命令行和图形界面两种配置模式进行介绍,同时为了保证实验的真实性,所有实验不使用eNSP模拟器,全部使用物理防火墙和运营商提供的互联网IP地址,让实验更具有实战参考价值。
《华为防火墙实战指南》语言通俗易懂,可操作性强,可作为华为USG防火墙管理人员参考用书,也可作为华为HCNA安全课程的实验手册。
书名:华为防火墙实战指南
ISBN:978-7-115-53233-6
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 何坤源
责任编辑 王峰松
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书针对华为HCNA安全课程所涉及的实验内容,从基本操作开始,由浅入深地介绍华为防火墙产品的各种配置及其使用。为方便读者阅读,本书采用命令行和图形界面两种配置模式进行介绍,同时为了保证实验的真实性,所有实验不使用eNSP模拟器,全部使用物理防火墙和运营商提供的互联网IP地址,让实验更具有实战参考价值。
本书语言通俗易懂,可操作性强,可作为华为USG防火墙管理人员参考用书,也可作为华为HCNA安全课程的实验手册。
何坤源,知名讲师,黑色数据网络实验室创始人,持有CCIE(RS/DC/SEC)、VCP-DCV(4/5/6)、H3CSE、ITIL等证书,目前担任多家企业、学校的IT咨询顾问,主讲VMware、Ovirt等虚拟化课程。
早在2006年,作者就将工作重心转向虚拟化、数据中心以及灾难备份中心的建设,2008年创建Cisco路由交换远程实验室,2009年创建虚拟化远程实验室,2015年创建云计算远程实验室。到目前为止,作者已经参与了多个企业虚拟化建设和改造项目,在虚拟化的设计、设备选型、运营维护等方面积累了丰富的经验。
工作之余,作者注重经验的总结和分享,几年来编写了《VMware vSphere 5.0虚拟化架构实战指南》《Linux KVM虚拟化架构实战指南》《VMware vSphere 6.0虚拟化架构实战指南》等图书,并有多种图书被各地的高校选为教材。
随着虚拟化、云计算技术的发展,网络基础架构已经不再是传统的路由器、交换机组合,防火墙、入侵检测等设备在企业网络中使用得越来越多,网络安全也变得越来越重要。特别是最近几年出现的各种安全问题,使得企业纷纷加大对安全设备方面的投入。
在世界范围内,能够提供安全服务的厂商有很多,国外著名的安全厂商有Palo Alto Networks、Fortinet、Cisco、Check Point等,国内著名的安全厂商有华为、华三、深信服等。虽然各大厂商均能为企业用户提供完整的安全解决方案,但从使用习惯上看,国内厂商的安全设备更符合我国国情。
华为作为其中的佼佼者,能够为企业用户提供完整的安全产品和解决方案,特别是华为USG系列防火墙,目前在企业中已经得到大量使用。
本书针对企业用户的使用需求而编写,共9章,采用循序渐进的方式带领读者掌握华为USG系列防火墙的配置和操作,并指导读者如何在企业中部署。
本书涉及的知识点很多,由于作者水平有限,书中难免有不妥和疏漏之处,欢迎大家与作者进行交流。有关本书的任何问题、意见和建议,可以发邮件到heky@vip.sina.com与作者联系,也可与本书编辑(wangfengsong@ptpress.com.cn)联系。
以下是作者的联系方式。
技术交流QQ:44222798。
技术交流QQ群:240222381。
技术交流微信:bdnetlab。
本书由异步社区出品,社区(https://www.epubit.com)为您提供相关资源和后续服务。
本书提供如下资源。
要获得以上配套资源,请在异步社区本书页面中单击
,跳转到下载界面,按提示进行操作即可。注意:为保证购书读者的权益,该操作会给出相关提示,要求输入提取码进行验证。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区,按书名搜索,进入本书页面,单击“提交勘误”,输入勘误信息,单击“提交”按钮即可,如下图所示。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们;有意出版图书的作者也可以到异步社区在线投稿(直接访问www.epubit.com/selfpublish/submission即可)。
如果您是学校、培训机构或企业用户,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”是人民邮电出版社旗下IT专业图书社区,致力于出版精品IT技术图书和相关学习产品,为作译者提供优质出版服务。异步社区创办于2015年8月,提供大量精品IT技术图书和电子书,以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。
“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌,依托于人民邮电出版社近30年的计算机图书出版积累和专业编辑团队,相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、人工智能、软件测试、前端、网络技术等。
异步社区
微信服务号
本章首先介绍防火墙的概念和发展历史,然后介绍华为USG6000系列防火墙架构、安全区域及策略、NAT、VPN、双机热备等知识,最后介绍本书实验所使用的设备、实验拓扑以及实验台操作。
本章要点
防火墙属于网络安全设备,其主要作用是通过各种配置,拒绝非授权的访问,保护网络安全。防火墙作为一个独立的硬件设备,可以通过访问控制、身份验证、数据加密、VPN技术等安全功能,形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网,同时还可以保护内部网络的安全。图1-1-1所示为防火墙在企业生产环境中的应用。在企业生产环境中,防火墙可以对来自内部以及外部的安全问题、内外部相互访问等进行有效控制。
图1-1-1
防火墙从出现到现在,主要经历了包过滤防火墙、代理防火墙和状态检测防火墙等三代,统一威胁管理和下一代防火墙是最近几年提出的概念。
包过滤防火墙属于第一代防火墙。这种防火墙通过配置访问控制列表对数据报文进行过滤,并根据策略转发或丢弃数据报文,其设计简单且易于实现。但是包过滤不检查会话状态且不分析数据,攻击者可以使用假冒地址进行欺骗,然后通过防火墙。
代理防火墙属于第二代防火墙。代理检查来自用户的请求,匹配安全策略后代表外部用户与真正的服务器建立连接,转发外部用户请求。代理防火墙安全性较高,但软件限制处理速度,同时需要为每一种应用开发对应的代理服务,开发周期长且升级困难。
状态检测防火墙属于第三代防火墙。1994年,网络安全厂商Check Point发布了第一台基于状态检测技术的防火墙。状态检测属于包过滤技术的延伸,对基于连接状态的数据报文进行检查时,它会考虑数据报文前后的关系,这意味着每个数据报文都不是独立存在的,而是前后有状态联系的。基于这样的状态联系,发展出了状态检测技术。状态检测防火墙通过动态分析激活的TCP会话和UDP会话状态采取动作,处理速度快且安全性高。
统一威胁管理(United Threat Management,UTM)防火墙属于新一代防火墙。除了具备基本防火墙功能外,它还将入侵检测、访问控制、防病毒、URL过滤等功能集成于一身,实现全面的安全防护功能。
下一代防火墙(Next Generation Firewall,NGFW)概念在2008年由网络安全厂商Palo Alto Networks提出,最初的目的是解决UTM防火墙运行多个功能后性能下降的问题。2009年Gartner对下一代防火墙重新进行了定义,明确了下一代防火墙除了具有UTM防火墙功能外,还可以基于用户、应用、内容进行管控。
华为USG6000系列防火墙于2013年9月正式发布,标志着华为防火墙进入一个新的发展阶段。同年,华为成为国内首家进入Gartner防火墙和UTM魔力象限的厂商。
华为USG6000系列防火墙将安全能力与应用识别进行深度融合,实现安全防护一体化,其应用识别经过10多年的积累,在业界排名第一。图1-3-1所示为安全能力与应用识别深度融合的6维控制,包括应用、内容、时间、用户、威胁和位置6个维度。
图1-3-1
华为USG6000系列防火墙优化了策略的管理,即使是一名新的管理人员也可以轻松对策略进行调整,快速完成部署。同时,策略管理可以自动找出重复以及无用的策略,管理人员可以对其进行删除或调整。图1-3-2所示为系统预置安全策略模板以及系统预置应用类别和风险组。
图1-3-2
华为USG6000系列防火墙能够提供全面的威胁防护,主要包括入侵检测、反病毒、识别伪装、文件过滤、URL过滤、内容过滤、Qos优化、SSL加密等。图1-3-3所示为华为USG6000系列防火墙集成了企业所需要的各种防护功能以及FORRESTER最新报告。
图1-3-3
华为USG6000系列防火墙通过智能感知引擎(Intelligent Awareness Engine,IAE)能够快速地部署各种策略,提供高性能的全面防护功能。图1-3-4所示为全新的IAE引擎。
图1-3-4
华为USG防火墙主要包括USG2000系列、USG5000系列、USG6000系列以及高端的USG9000系列。其中USG2000、USG5000系列属于入门级UTM防火墙产品,USG6000系列属于下一代防火墙产品,USG9000系列属于高端防火墙产品。
USG6000系列防火墙作为市面主流防火墙,其产品线非常完善,从华为USG6300到USG6600有多个型号,如图1-3-5所示。企业可以根据实际情况进行选择,如果华为USG6000系列防火墙无法满足企业需求,可以考虑华为高端的USG9000系列防火墙。华为USG9500系列防火墙作为业界首款T级数据中心防火墙,成功通过美国NSS实验室测试,被评为业界最快防火墙。
图1-3-5
无论是华为USG防火墙还是其他厂商的防火墙,都有安全区域的概念,理解并掌握安全区域的概念非常重要,并且这是配置防火墙必须掌握的知识点之一。
安全区域(Security Zone),通常称为区域(Zone)。一般来说,同一区域间的数据报文不使用安全策略进行控制,只有当数据报文在不同区域间传送时才会使用安全策略进行控制。
华为USG防火墙默认保留4个安全区域。
(1)本地(Local)区域:该区域代表防火墙本身,默认安全级别为100。
(2)信任(Trust)区域:该区域一般用于定义内部网络,默认安全级别为85。
(3)非信任(Untrust)区域:该区域一般用于定义非内部网络或互联网,默认安全级别为5。
(4)隔离区域(DMZ):该区域一般用于定义内部服务器所在的网络,默认安全级别为50。
在生产环境中,可以根据实际情况定义多个区域,如果是较小的生产环境,可以直接使用默认的安全区域。需要注意的是,华为USG防火墙安全区域都有一个级别,该级别是唯一的,用数字1~100进行表示,数字越大,表示该区域的可信度越高。默认的安全级别是固定的,可以根据实际情况定义不同的安全级别。
其他厂商的防火墙可能不存在本地区域概念,而华为USG防火墙提供本地区域,代表防火墙本身,由防火墙主动发出的数据报文可理解为是从本地区域发出的。华为USG防火墙最多支持32个安全区域。
确定安全区域后,需要了解数据流入流出的方向。数据在安全区域之间流动一般分为两种情况。
(1)入方向:数据报文从低级别安全区域向高级别安全区域流动时为入方向。
(2)出方向:数据报文从高级别安全区域向低级别安全区域流动时为出方向。
定义好安全区域后,需要将防火墙接口划分到对应的安全区域,接口可以把安全区域与物理网络关联起来,这样才能对不同安全区域的访问进行控制。
在生产环境中,可以根据需要,将一个或多个接口划入不同的安全区域,一个安全区域可以包括一个或多个接口。另外,接口既可以是物理接口,也可以是逻辑接口,可以通过子接口或VLAN IF逻辑接口将同一物理接口所连接的不同网段划入不同的安全区域。特别注意,一个接口只能加入一个安全区域。
需要说明的是,本地区域不能添加任何接口,但防火墙所有接口依然属于系统预留本地区域。
安全策略就是控制规则,在匹配对应规则的情况下,不同安全区域的数据报文就可以交换。如果不匹配规则,数据报文将被丢弃。
生产环境中比较常见的应用是,Trust区域访问Untrust区域,这时需要一条由Trust区域访问Untrust区域的安全策略(包括源地址、目的地址等多个参数)。当Trust区域数据报文到达防火墙后会匹配安全策略,如果成功匹配该策略,Trust区域就可以访问Untrust区域;如果安全策略是拒绝,那么Trust区域就不能访问Untrust区域。
另外,安全策略还有顺序的概念。在两个安全区域转发数据报文时,会遵循从上到下的顺序逐条查找安全策略。如果匹配了一条安全策略,就会执行安全策略的动作(允许或拒绝),执行完成后不再向下查找安全策略;如果没有匹配安全策略,则会向下继续查找。
网络地址转换(Network Address Translation,NAT)技术最早的应用是将私有网络IP地址转换为互联网IP地址,以减少对互联网IP地址的使用。
源NAT地址转换有多种方式,客户端访问互联网时,防火墙将私有网络IP地址转换为互联网IP地址,当回程数据报文返回防火墙时再将数据报文的目的地址由互联网IP转换为私有网络IP地址。源NAT技术是最常用的技术。比较常用的源NAT地址转换有Easy-IP、NAPT、No-PAT等。
(1)出接口地址转换(简称Easy-IP):内部客户端访问互联网时,会转换数据报文的IP地址,但转换后的IP地址只能为出接口IP地址。这种模式适用于多数环境,同时接口支持动态获取,例如ADSL线路。
(2)网络地址和端口转换(Network Address and Port Translation,NAPT):内部客户端访问互联网时,会对网络地址以及端口进行转换。NAPT也是在生产环境中使用比较广泛的源NAT技术。
(3)网络地址转换(No Port Address Translation,No-PAT):内部客户端访问互联网时,不转换端口只转换IP地址,通常用于一些特殊环境。
NAT Server是NAT技术的一种特殊应用。在生产环境中,内部网络中的服务器可能会提供给外部用户或合作企业访问,而这些服务器使用私有网络IP地址,通过NAT技术可以实现内部服务器地址到互联网IP地址的转换,让外部用户或合作企业可以通过互联网访问内部服务器,这种技术称为NAT Server。
路由黑洞是指数据报文在防火墙和路由器之间进行循环转发,产生路由环路,同时消耗设备的资源,导致设备无法正常工作。配置路由黑洞是为了避免数据报文的循环转发,使防火墙和路由器之间不产生环路。
当NAT地址池和互联网接口地址不在同一网段时,必须配置路由黑洞,避免防火墙和路由器之间产生环路。
当NAT地址池和互联网接口地址在同一网段时,建议配置路由黑洞,避免防火墙发送ARP数据报文,降低防火墙资源使用。
虚拟专用网(Virtual Private Network,VPN)是利用互联网建立私有网络通道进行数据传递的网络,比直接使用互联网传递数据具有更高的安全性。
VPN技术出现之前,分支机构接入总部网络一般采取租用运营商提供的SDH、MSTP等专线,这类专线费用高、扩展性较差,且不太适合出差用户接入总部网络。VPN技术出现后,企业可以使用低成本方案解决分支机构以及出差用户接入总部网络的问题。
(1)企业自建:自建是最常见的建设方式,企业自行申请互联网线路以及自购设备,通过配置即可完成VPN建设。其优势是企业能够对VPN网络进行完全控制,后期扩容非常方便。
(2)租用:中国电信、中国联通等运营商均提供VPN租用服务,比较常见的是多协议标签交换(Multi-Protocol Label Switching,MPLS)虚拟专用网络。这种VPN线路主要参数由运营商配置,优势是比企业自建VPN相对稳定;缺点是费用较高,企业不能对VPN网络进行完全控制,后期扩容需要通过运营商完成。
(1)点对点访问:也称为Site-To-Site VPN,一般用于分支机构与总部进行连接。
(2)远程访问:也称为Access VPN,一般用于出差用户访问总部网络,可以通过拨号方式连接到总部网络。
VPN主要通过在互联网上建立隧道技术来实现。互联网本身的安全性较差,为保证数据传递的安全性,VPN还需要使用其他技术来保证其安全性,主要技术包括隧道、认证、加密、密钥管理等。
(1)隧道技术。VPN的关键就是使用隧道技术。隧道技术是指在隧道两端使用封装和解封装方式在互联网上建立一条私有网络通道,使用这条通道对数据报文进行传输。封装和解封装过程可以为原始数据报文提供安全防护功能。
隧道技术由隧道协议组成,可以分为第二层和第三层隧道协议,第二层隧道协议主要有L2TP等,第三层隧道协议主要有IPSec等。
(2)认证技术。认证技术主要分为数据认证技术和身份认证技术。
数据认证技术用于保证数据在网络传输过程中不被篡改,以保证数据的原始性。数据认证主要采用散列算法。
身份认证技术主要用于保证接入用户的合法性,主要采用用户名、密码以及USB Key认证方式。
(3)加密技术。加密技术就是把明文变成密文的过程。当数据被封装入隧道后立即进行加密,当数据到达对端后,由隧道对端对数据进行解密。
加密技术中比较常用的是对称加密和非对称加密。对称加密指的是加密和解密使用同一个密钥,比较常见的对称加密算法有DES、3DES、AES、IDEA、RC2\RC4\RC5\RC6等;非对称加密指的是加密和解密使用两个不同的密钥,私钥用来保护数据,公钥用来检验发送者的真实性,比较常见的非对称加密算法有MD5、SHA-1等。
L2TP协议不支持加密技术,IPSec VPN、SSL VPN支持对数据报文和协议报文加密。
(4)密钥管理。密钥管理的主要作用是保证在互联网上传递的密钥不被窃取,这是数据加密技术中的重要环节。密钥管理主要包括密钥的产生、分配保存、更换销毁等环节。
通用路由封装协议(General Routing Encapsulation,GRE)是早期出现的VPN技术,能够实现数据报文在互联网隧道中进行封装和解封装,封装后的数据报文传输隧道称为Tunnel。
GRE VPN封装和解封装过程:在内部网络原始数据报文前添加GRE头,再在GRE头前添加互联网IP地址头,这就是封装的过程;封装后数据报文就可以通过隧道在互联网上进行传递,当数据报文到达隧道对端后,会去掉互联网IP地址头、GRE头信息,恢复原始数据报文。
GRE VPN最大的问题在于数据报文采用明文,无法直接对其进行加密传输,因此,数据安全不能得到保证。
第二层隧道协议(Layer Two Tunneling Protocol,L2TP)是为分支机构或者出差用户通过互联网访问总部网络设计的隧道协议。
L2TP VPN主要由接入集中器以及网络服务器组成,L2TP VPN早期应用是由运营商来建立LAC,集中为企业用户提供L2TP VPN服务,同时配套提供认证以及计费等功能。随着互联网环境的变化,依靠运营商建立的方式已经被淘汰,企业可以自建L2TP VPN网络,极大地降低了成本。
(1)L2TP接入集中器(L2TP Access Concentrator,LAC):LAC是L2TP VPN接入的汇聚点,可以为PPP用户提供接入服务。
(2)L2TP网络服务器(L2TP Network Server,LNS):LNS是部署在企业总部出口的网络服务器,既可以是PPP端系统,也可以是L2TP服务器端。
L2TP VPN属于第二层VPN协议,其封装和解封装过程如下。
(1)封装过程:客户端PPP数据报文到达LAC时,封装L2TP头(包含用于标识该消息的隧道ID以及会话ID)、UDP头(用于标识上层应用,LNS收到该数据报文时可以识别是L2TP数据报文)、互联网IP地址头(用于该数据报文在互联网转发)。
(2)解封装过程:当LNS收到L2TP数据报文后,首先检查互联网IP地址头和UDP头信息,再检查L2TP头信息,如果与已建立成功的L2TP隧道ID以及会话ID相同则解封装;如果不相同则丢弃,继续检查PPP头信息是否正确,对PPP头进行解封装,最后得到原始的数据报文,将数据报文送入上层进行处理。
L2TP VPN比较常见的方式是基于客户端直接拨号和基于LAC拨号。
(1)客户端直接拨号L2TP VPN(Client-Initialized VPN):客户端接入互联网,通过Windows系统自带的L2TP VPN拨号软件或者使用华为VPN拨号软件拨号到LNS服务器,LNS为其分配内部网络地址,允许用户接入内部网络。此方案适用于出差用户访问总部网络。
(2)LAC拨号L2TP VPN(NAS- Initialized VPN):LAC拨号L2TP VPN比客户端直接拨号L2TP VPN略为复杂一些,用户通过L2TP VPN拨号软件向LAC设备发起PPP或PPPoE连接,LAC来判断用户是否是L2TP用户,如果是,则判断用户具体与哪个LNS服务器发起隧道连接,最后由LNS为其分配内部网络地址,允许用户接入内部网络。此方案适用于分支机构连接总部网络。
无论是GRE VPN还是L2TP VPN,虽然有一定的安全机制,但建立的隧道传输没有安全加密机制,数据报文在互联网传输过程中可能被窃取。IP安全(IP Security)是IETF制定的安全协议,它为IP数据报文提供了基于密码学的安全保护机制。IPSec VPN就是利用IPSec隧道建立的网络层VPN,与GRE VPN和L2TP VPN相比,IPSec VPN更加安全。
IPSec VPN主要由验证头协议、封装安全载荷、网络密钥交换组成。其中验证头协议、封装安全载荷定义了协议格式以及提供的服务,能够提供数据完整性验证等功能,保障数据在传输过程中的机密性。网络密钥交换可以进行自动协商交换密钥等服务。在生产环境中,验证头协议和封装安全载荷可以单独使用,也可以同时使用。
(1)验证头协议(Authentication Header,AH):AH是数据报文验证头协议,能够对数据源进行验证,同时还能够对数据的完整性进行校验以及数据报文重放。AH本身不加密数据,AH协议号为51。
(2)封装安全载荷(Encapsulate Security Payload,ESP):ESP是封装安全载荷协议,除了具有AH功能外,还能够对IP报文进行加密,ESP协议号为50。
(3)网络密钥交换(Internet Key Exchange,IKE):IKE用于自动协商AH和ESP所使用的加密算法。
IPSec VPN有以下两种模式。
(1)传输模式(Transport Mode):IPSec处理模块在IP报文和上层协议报头之间插入IPSec 报头,IP报文中的协议字段会变为IPSec所使用的协议号(AH或ESP协议号),然后重新计算IP报头校验和。传输模式一般用于主机安全网关或主机与主机间的通信。
(2)隧道模式(Tunnel Mode):原始IP分组被封装为一个新的IP报文,在内部报头和外部报头之间插入IPSec报头,原IP地址被当作有效载荷的一部分受到IPSec保护。隧道模式一般用于主机安全网关与安全网关之间的通信。
IPSec VPN使用加密算法来保证数据报文在传输过程不被窃取,常用的加密算法分为以下几类。
(1)DES(Data Encryption Standard):使用56位密钥对明文进行加密,安全级别低。
(2)3DES(Triple Data Encryption Standard):使用3个56位密钥(共168位密钥)对明文进行加密,安全级别中等。
(3)AES(Advanced Encryption Standard):使用128位、192位、256位密钥对明文进行加密,安全级别高。
IPSec VPN使用加密算法对数据报文进行加密,那么相应地需要使用验证算法来验证数据报文在传输过程中是否被篡改。验证算法主要通过杂凑函数实现,杂凑函数可以产生固定签名长度,如果两个签名长度一致,说明数据报文在传输过程中没有被篡改。常用的验证算法分为以下几类。
(1)MD5(Message Digest 5):签名长度为128位,安全级别低。
(2)SHA-1(Secure Hash Algorithm 1):签名长度为160位,安全级别中。
(3)SHA-2(Secure Hash Algorithm 2):签名长度为256位(SHA2-256)、384位(SHA2-384)、512位(SHA2-512),安全级别高。
安全套接层(Security Socket Layer,SSL)是为应用层提供安全连接的安全协议。SSL介于TCP/IP第四层与第七层之间,可以为HTTP提供安全连接。
SSL协议是Netscape公司提出的基于客户端和服务器之间的Web应用安全通道协议,目前广泛使用的是SSL 2.0和SSL 3.0,最新的版本有TLS 1.0(也称为SSL 3.1)、TLS 1.1和TLS 1.2。SSL协议分为底层SSL记录协议和上层SSL握手协议。
(1)底层SSL记录协议(SSL Record Protocol):对上层数据进行处理并进行加密传输。
(2)上层SSL握手协议(SSL Handshake Protocol):使用公钥加密算法对密文进行传输。
SSL协议广泛应用于电子商务、网上银行等领域,为互联网上数据的传输提供安全性保证。SSL是一种在两台计算机之间提供安全通道的协议,它具有保护传输数据以及识别通信计算机的功能。到目前为止,SSL协议有3个版本,其中SSL 2.0和SSL 3.0得到广泛的应用,IETF基于SSL 3.0推出了TLS 1.0协议(也被称为SSL 3.1)。随着SSL协议的不断完善,包括微软IE在内的越来越多的浏览器支持SSL,SSL协议成为应用最广泛的安全协议之一。除Web访问、TCP/UDP应用之外,SSL VPN还能够对IP通信进行保护。
SSL VPN以SSL协议为基础,基于B/S架构,不需要使用客户端,只需要使用标准浏览器内置的SSL即可实现,属于新型VPN技术。同时,SSL VPN不需要改变现有网络架构,不涉及NAT穿越等问题,可在企业中快速部署。
对于网络访问要求不是太高的企业来说,通常只部署一台防火墙提供各种服务,企业可以接受短暂的网络中断。但是,对于网络访问要求比较高的企业来说,网络出现中断的情况是不能接受的,这时会使用多个运营商的线路以及两台或多台防火墙来实现冗余备份,当一台设备或者一个运营商线路出现故障时,可以切换到另外一台设备的运营商线路不间断持续提供服务。
早期网络设计中,对于路由器或者防火墙来说,考虑冗余设计的不多,通常组网的方式是使用一条链路配置一台路由器或者防火墙作为出口,所有业务将通过这个出口,当这台设备或者链路出现故障时就会导致所有业务无法访问。
为避免这些问题,可以使用双机热备技术。在生产环境中可以配置两台防火墙(主备模式),防火墙之间使用心跳线连接,主防火墙转发数据,备用防火墙处于不转发状态,当主防火墙发生故障时就切换到备用防火墙提供服务,这是比较常用的主备模式。那么现在有一个问题,如果备用防火墙不转发就非常浪费,此时可以使用负载分担的双机热备模式,两台防火墙都转发数据,互为备份,这样不仅实现了冗余备份,还提高了防火墙的使用率。
虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)是一种路由容错协议。在生产环境中,可以把两台或多台路由器创建为一个VRRP组,VRRP组生成一个虚拟IP地址,客户端使用虚拟IP作为网关地址。VRRP组中只有一台路由器处于活动(Active)状态,处于Active状态的路由器可以转发下一跳数据报文;其他设备处于备用(Standby)状态,处于Standby状态的路由器不能转发数据报文,Active设备周期性向VRRP组中Standby设备发送Hello数据报文通知其自己的状态以及优先级。Active状态的路由器出现故障的时候,Standby状态的路由器会自动接替下一跳转发工作,从而保证网络不会出现中断的情况。
VRRP组管理协议(VRRP Group Management Protocol,VGMP)是用于管理VRRP组的协议。VGMP通过统一控制来实现对多个VRRP组的管理,确保VRRP状态的一致性。
图1-7-1
如图1-7-1所示,防火墙USG A和防火墙USG B使用VRRP,两台设备状态一致时,防火墙USG A所有接口处于活动转发状态,防火墙USG B所有接口处于备用状态。
两台防火墙VRRP状态一致的情况下,PC1访问PC2的路径为(1)→(2)→(3)→(4),防火墙USG A转发数据报文,生成会话表项。PC2返回的数据报文经过(4)→(3)→(2)→(1)达到PC1。
两台防火墙VRRP状态不一致的情况下,就可能存在问题。如果USG B与Trust区域相连的接口为备用状态,但与Untrust区域相连的接口为活动状态,则PC1的数据报文通过USG A设备到达PC2后,在USG A上会动态生成会话表项。PC2返回的数据报文通过路线(4)→(9)返回。此时由于USG B上没有相应数据流的会话表项,在没有其他数据报文过滤规则允许通过的情况下,USG B将丢弃该数据报文,导致会话中断。
为保证VRRP状态的一致性,华为使用VGMP来解决这个问题,将多个VRRP备份组都加入一个VRRP管理组,由管理组统一管理所有VRRP备份组。VGMP通过统一控制VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态保持一致。
当防火墙VGMP为Active状态时,组内所有VRRP备份组的状态统一为Active状态,所有数据报文都将从该防火墙上通过,该防火墙成为主防火墙。另外一台防火墙VGMP为Standby状态,该防火墙成为备用防火墙。同时,VGMP通过定期发送HELLO报文来检测状态,VGMP HELLO报文发送周期默认为1秒,当Standby状态的防火墙3个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。
为保证实验操作具有参考价值以及可复制性,同时最大程度地还原企业生产环境真实应用,本书所有实验不使用eNSP模拟器,而是使用全物理设备进行操作。
实验环境使用华为USG6320防火墙、华为S5720S-28P交换机、华为RH2285服务器,设备的详细配置如表1-8-1所示。
表1-8-1
| 设备名称 |
型号 |
配置 |
实验环境命名 |
|---|---|---|---|
| 防火墙 |
USG6320 |
桌面式防火墙,8个1Gbit/s以太网接口 |
HFW1\HFW2\HFW3 |
| 交换机 |
S5720S-28P |
24个1Gbit/s以太网接口 |
HSW1\HSW2 |
| 服务器 |
RH2285 |
Intel Xeon E5-2403/96GB内存/1TB SSD |
本实验指南主要涉及华为USG系列防火墙操作,华为交换机以及服务器介绍请参考华为官方网站。
华为USG6320防火墙为桌面型1U产品,可安装至19英寸标准机柜,设备提供1个Console接口,8个10/100/1000Mbit/s自适应接口,自适应接口编号为GE0/0/0~GE0/0/7,其中GE0/0/0/为带内管理口,默认IP地址为192.168.0.1/24。设备采用固定接口,不支持扩展模块以及外置硬盘,设备正面如图1-8-1所示。
图1-8-1
华为USG6370防火墙为标准1U产品,可安装至19英寸标准机柜,设备提供固定接口以及可扩展接口,固定接口为1个MGMT管理接口以及1个Console接口,8个10/100/1000Mbit/s自适应接口,编号为GE0/1~GE0/7,默认IP地址为192.168.0.1/24。设备提供2个WSIC扩展插槽以及外置硬盘,设备正面如图1-8-2所示,设备背面如图1-8-3所示。
图1-8-2
图1-8-3
华为防火墙实验涉及防火墙、PC客户端的操作,为保证实验的真实性及有效性,全部采用真实设备,详细拓扑如图1-8-4所示。
图1-8-4
实验环境部署了3台华为USG6320防火墙,使用中国电信、中国联通互联网固定IP地址,同时使用华为RH2285服务器安装VMware vSphere 6.0系统,创建多台虚拟机用于实验。
本书中实验所使用的物理设备均托管于IDC机房,需通过远程桌面登录IDC管理设备进行实验操作,具体操作步骤如下。
第1步,使用Windows系统自带的远程桌面工具登录IDC机房Windows 7操作主机,操作主机已经安装实验所需软件,包括VMware vSphere Client客户端、SecureCRT客户端以及浏览器等,如图1-8-5所示。
图1-8-5
第2步,使用VMware vSphere Client客户端登录安全实验所使用的ESXi主机,实验用的基础虚拟机均已安装,如有额外需要可自行安装,如图1-8-6所示。
图1-8-6
第3步,查看ESXi主机网络划分,可根据实验拓扑进行调整,如图1-8-7所示。
第4步,防火墙通过名为HW-Inside_WIN7-10.1.1.10的虚拟机进行操作,选中该虚拟机,单击鼠标右键,在弹出的快捷菜单中选择“打开控制台”,如图1-8-8所示。
图1-8-7
图1-8-8
第5步,登录名为HW-Inside_WIN7-10.1.1.10的虚拟机控制台,虚拟机上已安装好实验所用软件,如图1-8-9所示。
图1-8-9
第6步,使用SecureCRT客户端连接TS-2511终端服务器控制台,该控制台同时连接所有设备的Console接口,如图1-8-10所示。
第7步,输入用户名和密码登录终端服务器控制台,如图1-8-11所示。
图1-8-10
图1-8-11
第8步,登录防火墙的Console接口,如图1-8-12所示。
图1-8-12
第9步,如果终端服务器控制台没有反应,可以关闭电源再打开电源重启防火墙,如图1-8-13所示。
第10步,防火墙重新启动,终端服务器控制台显示启动信息,如图1-8-14所示。
图1-8-13
图1-8-14
第11步,对HFW1防火墙进行初始配置,配置带内管理接口,以便访问。
Username:admin #默认用户名为admin
Password: #默认密码为Admin@123
NOTICE:This is a private communication system.
Unauthorized access or use may lead to prosecution.
<BDNETLAB-HFW1>system-view #进入system-view视图
[BDNETLAB-HFW1]display current-configuration interface GE0/0/0 #查看GE0/0/0配置信息
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server ip-range 192.168.0.1 192.168.0.254
dhcp server mask 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
anti-ddos flow-statistic enable
anti-ddos syn-flood source-detect alert-rate 100
#
return
[BDNETLAB-HFW1]interface GE0/0/0 #进入接口配置
[BDNETLAB-HFW1-GigabitEthernet0/0/0]ip address 10.1.1.1 24 #配置接口
#IP地址
[BDNETLAB-HFW1-GigabitEthernet0/0/0]display this #查看当前接口配置
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 10.1.1.1 255.255.255.0
dhcp select interface
dhcp server ip-range 192.168.0.1 192.168.0.254
dhcp server mask 255.255.255.0
dhcp server gateway-list 192.168.0.1
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
anti-ddos flow-statistic enable
anti-ddos syn-flood source-detect alert-rate 100
#
return第12步,在虚拟机HW-Inside_WIN7-10.1.1.10控制台使用ping命令检查与HFW1防火墙的连通性,如图1-8-15所示。
第13步,使用浏览器登录HFW1防火墙,输入用户名和密码,如图1-8-16所示,输入后单击“登录”按钮。
图1-8-15
图1-8-16
第14步,成功登录HFW1防火墙,如图1-8-17所示。
第15步,打开HFW1防火墙主面板,如图1-8-18所示。
至此,已实现对防火墙的基本访问操作,后续的实验均通过命令行或图形界面进行操作。
图1-8-17
图1-8-18
本章介绍了华为防火墙的基础知识、实验所使用的物理设备、实验拓扑以及实验台操作等。基础实验部分通常使用1台华为USG6320防火墙,后续进阶实验部分会使用多台华为USG防火墙。熟悉基础操作是实验非常重要的环节,如果读者使用的实验环境有限,可访问华为官方网站下载eNSP软件进行模拟操作。
